1. 企业安全应急响应与渗透反击
程 冲
2012年02月
1

2. 前言
 2011年6月份我入职某企业安全部门来，截至到目前为止（已知）发生了5次安全事件
。每一次都暴露出互联网企业在安全工作中普遍比较容易被忽略或者遗漏的威胁和弱
点。
 近期我对这5次安全事件，将工作中包括应急响应、安全改进、渗透反击等内容进行了
归纳和小结。结合大量的第一手截图、日志、信息、思路形成这份“应急响应与渗透
反击”，和大家一起分享与交流。
 PPT中涉及到个人隐私和非法等信息，请以技术探讨的角度去理解。
程 冲
chong.cheng@hotmail.com
2

3. 目录
• 事件一：开源系统
• 事件二：合作伙伴
• 事件三：开发测试
• 事件四：防不胜防
• 事件五：遗忘角落
3

4. 目录
事件一：开源系统
• 事件二：合作伙伴
• 事件三：开发测试
• 事件四：防不胜防
• 事件五：遗忘角落
4

5. 开源团购
 公司的团购业务应用，采用的是最土团购商用系统。官方有开源版下载！ 5

6. 开源团购
 某天突然被告知，一门户网站爆料公司团购分站被黑。附带插图如上，好一个FUN… 6

7. 开源团购
 网站沦陷原因：1）最土团购系统，上传页面未做任何验证和限制。直接可以被调用 7

8. 开源团购
• 参考文档：http://www.80sec.com/nginx-securit.html
 网站沦陷原因：2）NGINX与FASTCGI配置不当，导致任意扩展名文件被作为脚本解析 8

9. 开源团购
 开源团购应急响应/渗透反击小结
 应急方面：
 1）入侵者根据已知安全弱点所进行的渗透测试行为；
 2）从相关日志记录分析，渗透的深度与广度仅限于该服务器；
 3）事后根据了解的信息，为两在校大学生所为；
 改进方面：
 1）公司网站应用后台管理规范的建设与整改；
 2）对公司使用开源系统的梳理、版本/补丁升级；
 3）对公司使用开源系统的安全黑盒/白盒检测；
9

10. 目录
• 事件一：开源系统
事件二：合作伙伴
• 事件三：开发测试
• 事件四：防不胜防
• 事件五：遗忘角落
10

11. 合作伙伴
 某天接到OPS的反馈，某IDC一交换机带宽使用率多次飙升报警。且已定位到源服务器11

12. 合作伙伴
 对该服务器运行的业务应用识别为基于DedeCMS的网站，版本较老！为合作伙伴站点 12

13. 合作伙伴
 对WEB日志的分析中，发现可疑的GET请求。其中dc.php的参数有IP地址、端口与时间13

14. 合作伙伴
 PHP脚本功能为发送UDP数据包。WEB普通权限就可用PHP创建UDP的SOCKET，即UDP DoS
14

15. 合作伙伴
 对PHP后门目录的检测中发现，后门文件ga.php的stat信息如上 15

16. 合作伙伴
 结合WEB日志的记录，通过时间比对和测试确认。确定该网站（此次）沦陷的原因 16

17. 合作伙伴
 在数据库中找到了tid=177的记录，很熟悉的一句话PHP木马：<?php eval…… 17

18. 合作伙伴
 在WEB日志中搜索请求tid=177来源IP地址，并对这些源IP地址的所有请求做关联分析18

19. 合作伙伴
 发现了其它路径下的WEBSHELL，是否为同一波攻击者不得而知。但多个漏洞一直存在19

20. 合作伙伴
 分析中发现攻击者DedeCMS的Exp的GET请求，其中包含MYSQL的HOST，USER，PASSWORD
20

21. 合作伙伴
 显然是攻击者的肉鸡，Mysql的Root权限。试想提权Sniff所有受攻击DedeCMS的请求…
21

22. 合作伙伴
 合作伙伴应急响应/渗透反击小结
 应急方面：
 1）整理DedeCMS该版本所面临的安全威胁，根据WEB日志和攻击临时文件辅助判断；
 2）服务器上应用网站基于纵向的WEBSHELL/ROOKIT的检测和清理；
 3）网站应用业务数据的备份与网站应用DedeCMS补丁更新/升级；
 改进方面：
 1）公司IDC范围内的三方网站/合作伙伴业务应用的梳理；
 2）公司网站应用与合作伙伴业务从系统和网络上进行隔离；
 3）对攻击者所使用到的肉鸡进行了一些研究与学习……
22

23. 目录
• 事件一：开源系统
• 事件二：合作伙伴
事件三：开发测试
• 事件四：防不胜防
• 事件五：遗忘角落
23

24. 开发测试
 某天接到QA/OPS的反馈，WEB日志中出现500错误。请求的文件非网站程序且已被删除24

25. 开发测试
 对WEB日志分析，GET请求的参数根据经验判断:该JSP即具有文件管理功能的WEBSHELL
25

26. 开发测试
 确定沦陷的原因：暴力TOMCAT管理后台弱口令，上传JSP的WEBSHELL，且涉及多台系统
26

27. 开发测试
 日志中请求WEBSHELL的IP地址位置为香港，显然是肉鸡。我想看看究竟是谁闲的蛋疼27

28. 开发测试
 香港肉鸡正面没有拿下，但是在隔壁相同应用群的一组服务器拿到了WEBSHELL。继续28

29. 开发测试
 迂回拿下香港肉鸡，从服务器上安装的SYMANTEC的杀毒记录显示，攻击者入驻的时间29

30. 开发测试
 后来对该肉鸡和服务器群进行渗透扩散，发现攻击者在香港肉鸡启用VPN服务，嗅探之
30

31. 开发测试
 另一方面，原WEB日志中显示还有另外一个河北廊坊的IP地址也访问过WEBSHELL。继续
31

32. 开发测试
 拿下廊坊服务器后，发现上面运行着LCX端口转发程序，用于中转来自内网的反弹会话
32

33. 开发测试
 对反弹会话的源和目的IP分析后，发现入侵者渗透的范围较广，而且显得也比较专业33

34. 开发测试
 经过对廊坊肉鸡以及公司应用服务器的综合验证，生产网里还有一个反弹会话被发现34

35. 开发测试
 继续廊坊肉鸡的分析，发现藏着攻击者的武器弹药库含自行开发工具。作为攻击前端35

36. 开发测试
 开发测试应急响应/渗透反击小结
 应急方面：
 1）根据WEB日志和后门文件等辅助判断，确定入侵者所利用的漏洞；
 2）相关服务器上应用网站基于纵向/横向的WEBSHELL/ROOKIT的检测与清理；
 3）所有服务器TOMCAT管理后台的全线清理，启动账户权限调整；
 改进方面：
 1）所有服务器高危默认管理后台TOMCAT/JBOSS/WEBLOGIC等清理和访问限制；
 2）开发、测试环境的变更调整规范，应用上线的严格审计和安全测试；
 3）对攻击者所使用到的肉鸡，以及工具脚本等进行了一些研究与学习……
36

37. 目录
• 事件一：开源系统
• 事件二：合作伙伴
• 事件三：开发测试
事件四：防不胜防
• 事件五：遗忘角落
37

38. 防不胜防
 同时我在IDC/OA部署两套IDS，并增加RULE。针对与攻击者控制IP网段的通信进行监测
38

39. 防不胜防
 对攻击者VPN出口持续嗅探的通信数据进行分析后，发现其在美国还有一台肉鸡(VPS)
39

40. 防不胜防
 美国VPS除RDP/空WEB外，没对外服务应用；同事从隔壁服务器通过ARP嗅探到RDP密码40

41. 防不胜防
 果不其然，美国VPS上运行着Gh0st RAT远程控制软件。且发现公司还有一服务器中招41

42. 防不胜防
 在对美国VPS分析后，发现里面有攻击者大量的渗透中间数据包括工具/源代码/密码等
42

43. 防不胜防
 同时在对攻击者VPN出口的嗅探结果中显示，攻击者网络出口存在多个QQ号，包括6位43

44. 防不胜防
 从美国VPS打包的数据发现有-QQ农场小偷程序，自动登录时配置文件中含认证加密串44

45. 防不胜防
 于是得到攻击者多个腾讯QQ邮箱、QQ微博权限。以及某个倒霉攻击者的大量私人信息45

46. 防不胜防
 期间我截到攻击者之一在安全技术论坛T00ls的账户和密码，使用同事小号关注其动态
46

47. 防不胜防
 之后看到该攻击者在T00ls论坛发贴-渗透大型企业的心得体会，涉及IBM/SOHU/SINA等
47

48. 防不胜防
 本以为就这样告一段落，但IDC中的IDS显示美国某VPS网段一直在刷公司的主页。继续
48

49. 防不胜防
 通过分析美国VPS的默认配置弱点，先后拿下了十多台VPS的权限。与IDS报警同步分析
49

50. 防不胜防
 最终确认，刷网站的VPS服务器上安装了-流量精灵。我比较搞不明白，这算CC攻击吗50

51. 防不胜防
 期间分析攻击者VPN通信时，发现某个后门页面是记录请求者的来源IP/浏览器版本等51

52. 防不胜防
 凭经验我觉得这个是APT攻击，于是我默默的加解密处理掉了我ADSL的动态拨号IP纪录
52

53. 防不胜防
 针对本次应急响应与渗透反击后，我仅就渗透/入侵者的角度所进行的一些优缺点小结
53

54. 目录
• 事件一：开源系统
• 事件二：合作伙伴
• 事件三：开发测试
• 事件四：防不胜防
事件五：遗忘角落
54

55. 遗忘角落
 某天QQ上接到前阿里云同事KJ的安全漏洞反馈，只是WEBSHELL上居然写错了我的名字55

56. 遗忘角落
 经过与KJ沟通和WEB日志的分析，沦陷的原因是该版STRUTS框架存在执行任意指令漏洞
56

57. 遗忘角落
 漏洞复现效果如上，执行URL请求后STUSTS弱点机器即以WEB运行权限执行NC反弹指令57

58. 遗忘角落
 遗忘角落应急响应/渗透反击小结
 应急方面：
 1）根据WEB日志和当时人沟通等分析，确定入侵者所利用的漏洞；
 2）所有服务器有引用STRUTS框架及版本信息汇总，确定影响面并版本升级；
 3）当事服务器上基于纵向的WEBSHELL/ROOKIT的检测和清理；
 改进方面：
 1）公司业务应用范围内，三方/开源框架的引用信息的梳理；
 2）对三方/开源框架做版本/补丁/漏洞等信息的跟踪；
 3）经过最后信息收集人工汇总/技术确认：只存在这一个STRUTS，且版本过低；
58

59. 目录
事件一：开源系统
事件二：合作伙伴
事件三：开发测试
事件四：防不胜防
事件五：遗忘角落
59

60. 讨论时间
60

61. 讨论时间
 应急响应/渗透反击事后的反思
 五次安全事件背后所暴露安全工作的问题：
 1）信息资产识别，安全威胁、弱点、(风险)梳理不足。应避免存在遗漏；
 2）安全工作中优先级把握不足。处理好“重要”与“紧急”的工作组合；
 3）安全意识不足。需时刻关注网络安全发展趋势、态势，准确评估风险；
 4）安全工作知易行难。需要在技术/沟通/政策层面保证执行过程与结果；
 根据本次主题，分享您在企业安全工作中的成功或失败的经验与教训？
 渗透讲究的是纵深，防御讲究的是整体。没有一劳永逸的安全措施，仅与渗透者赛跑
61

62. http://t.qq.com/cc964894
chong.cheng@hotmail.com
62